Krajowy System Cyberbezpieczeństwa. Kto musi zarejestrować swoją firmę?

W piątek 3 kwietnia 2026 roku weszła w życie nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Od 7 maja do 3 października br. firmy będą musiały ocenić, czy należą do KSC, a jeśli tak – zarejestrować się w specjalnym wykazie. Ma im w tym pomóc zestaw pytań i odpowiedzi opublikowany na stronie cyber.gov.pl.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa

.Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa przygotowana przez Ministerstwo Cyfryzacji weszła w życie w piątek. Regulacja wdraża w Polsce unijną dyrektywę NIS 2 ws. cyberbezpieczeństwa oraz Toolbox 5G, czyli unijny dokument dotyczący bezpieczeństwa sieci 5G. Dyrektywa NIS 2 zastąpiła dotychczasowy podział na operatorów usług kluczowych i dostawców usług cyfrowych na „podmioty kluczowe” i „podmioty ważne”. Wprowadziła także nowe sektory objęte obowiązkami związanymi z cyberbezpieczeństwem.

„W odpowiedzi na rosnącą liczbę cyberataków na infrastrukturę krytyczną oraz zwiększającą się skalę dezinformacji tworzymy nowy ekosystem, który zapewni większe bezpieczeństwo państwa i obywateli. Nowelizacja ustawy o KSC wchodzi w życie w zbliżonym czasie, co Strategia Cyberbezpieczeństwa. Te dwa dokumenty razem zwiększą odporność w cyberprzestrzeni oraz poprawią bezpieczeństwo Polski” – podkreślił wicepremier i minister cyfryzacji Krzysztof Gawkowski podczas niedawnej konferencji prasowej.

Nowelizacja ustawy o KSC wprowadza nowe sektory, które będą objęte obowiązkami związanymi z cyberbezpieczeństwem. Obok energii, transportu, ochrony zdrowia, bankowości, infrastruktury rynków finansowych, zaopatrzenia w wodę i infrastruktury cyfrowej, dodano: ścieki, zarządzanie ICT, przestrzeń kosmiczną, usługi pocztowe, produkcję i dystrybucję, w tym chemikaliów i żywności. Do sektorów KSC zaliczono też podmioty publiczne, w tym urzędy, samorządy, szkoły, szpitale, instytuty badawcze i Polską Agencję Prasową.

Zgodnie z nowelizacją, firmy muszą same ocenić, czy spełniają kryteria dla podmiotu kluczowego lub podmiotu ważnego. Jeśli odpowiedź jest pozytywna – będą zobowiązane zarejestrować się w wykazie podmiotów KSC. Jak przekazał Gawkowski, wykaz dla prywatnych firm zostanie otwarty 7 maja, a podmioty będą mogły się w nim rejestrować przez kolejnych 6 miesięcy, czyli do 3 października br. Za niewywiązanie się z tego obowiązku przedsiębiorcom będą grozić kary finansowe.

Aby ułatwić zadanie samoidentyfikacji, na stronie cyber.gov.pl resort cyfryzacji opublikował 131 szczegółowych pytań i odpowiedzi dla firm i podmiotów objętych nowymi przepisami. – To nie jest katalog zamknięty. Jeśli ktoś – podmiot, firma, osoba fizyczna, gazeta – zada pytanie, które nie jest umieszczone na te liście, to udzielimy indywidualnej odpowiedzi i może się tak zdarzyć, że to pytanie i odpowiedź na nie trafią na listę – podkreślił podczas spotkania z dziennikarzami wiceminister cyfryzacji Paweł Olszewski. Przedstawiciele resortu poinformowali też, że będą starali się docierać do firm, które mogą nie zdawać sobie sprawy z nowych obowiązków. Resort będzie to robić m.in. przez komunikaty, kampanie informacyjne, przekazywanie informacji mediom czy przez portal biznes.gov.pl.

Obowiązek samoidentyfikacji nie dotyczy podmiotów publicznych. Jak przekazał szef MC, 13 kwietnia rozpocznie się proces, w którym Minister Cyfryzacji będzie z urzędu wpisywał podmioty do wykazu. Będzie to dotyczyło – oprócz jednostek publicznych – przedsiębiorców komunikacji elektronicznej oraz dotychczasowych operatorów usług kluczowych.

Do 3 kwietnia 2027 r. podmioty kluczowe i ważne muszą wdrożyć obowiązki związane z cyberbezpieczeństwem, wynikające z nowych przepisów – podał resort. Wśród nowych obowiązków znalazło się m.in.: wdrożenie systemu zarządzania bezpieczeństwem informacji, regularne ocenianie ryzyka wystąpienia incydentów i zarządzanie incydentami. Obowiązkowe będzie też zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty oraz stosowanie środków ograniczających wpływ incydentów. Środki te to np. regularne aktualizacje oprogramowania, czy niezwłoczne podejmowanie działań po dostrzeżeniu zagrożenia.

Podmioty objęte KSC będą musiały również wdrożyć środki techniczne i organizacyjne proporcjonalne do oszacowanego ryzyka, które powinny być dostosowane m.in. do wielkości organizacji. Wśród tych środków nowela wymienia polityki i procedury cyberbezpieczeństwa, kontrolę dostępu do systemów, bezpieczne środki komunikacji, zawierające uwierzytelnianie wieloskładnikowe czy szkolenia dla pracowników. Wdrożone środki mają zapewniać bezpieczeństwo ludzi, środowiska, zasobów podmiotu oraz łańcucha dostaw produktów, usług i procesów ICT (teleinformatycznych). Mają też zapewnić ciągłość działania podmiotu i możliwość świadczenia usług w przypadku wystąpienia incydentu

Z kolei do 3 kwietnia 2028 r. podmioty kluczowe mają czas, aby przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa. Kolejne audyty trzeba będzie przeprowadzać co najmniej raz na trzy lata.

Nowela przewiduje również utworzenie sektorowych zespołów CSIRT, które będą wspierać podmioty objęte KSC w obsłudze incydentów cyberbezpieczeństwa.

Zgodnie z ustawą zostanie wprowadzony Krajowy plan reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę. Minister cyfryzacji będzie mógł natomiast wydać polecenie zabezpieczające ze wskazaniem zachowania, które ograniczy skutki trwającego incydentu krytycznego. W jego ramach może np. nakazać podmiotowi przeprowadzenie analizy ryzyka czy zabezpieczenie określonych informacji.

Za nieprzestrzeganie przepisów na przedsiębiorców objętych KSC będą nakładane kary pieniężne. Kara na podmioty kluczowe może wynieść 2 proc. przychodów firmy; minimum 20 tys. zł, a maksymalnie 10 mln euro (ok. 42,4 mln zł). Natomiast kary na podmioty ważne mogą wynieść 1,4 proc. przychodów firmy; min. 15 tys. zł i maks. 7 mln euro (ok. 20 mln zł).

Niezależnie od limitów za niezastosowanie się do nakazu organu cyberbezpieczeństwa będzie grozić kara od 500 zł do 100 tys. zł za każdy dzień opóźnienia. Taka kara grozi np. za niewykonanie nakazu podjęcia określonych czynności dotyczących obsługi incydentu poważnego czy też za nieprzeprowadzenie audytu.

Wysokie kary

.Ustawa przewiduje też kary do 100 mln zł w sytuacji, w której zidentyfikowane zostanie, że podmiot kluczowy albo ważny narusza przepisy ustawy, a przy tym powoduje bezpośrednie i poważne zagrożenie cyberbezpieczeństwa dla obronności, bezpieczeństwa państwa, bezpieczeństwa i porządku publicznego, życia i zdrowia ludzi; albo powoduje zagrożenie wywołania poważnej szkody majątkowej lub poważnych utrudnień w świadczeniu usług.

Podstawicie Ministerstwa Cyfryzacji podkreślili w rozmowie z dziennikarzami, że system kar nie ma charakteru opresyjnego, a procedura w tej sprawie jest wieloetapowa. Obejmuje m.in. kontrole, wystąpienia pokontrolne, zgłaszanie zastrzeżeń oraz wzywanie do usunięcia nieprawidłowości. Resort zadeklarował, że kary finansowe mają być więc ostatecznością, a nie punktem wyjścia.

W trakcie prac sejmowych nad ustawą przyjęto zmiany, które doprecyzowały wybrane rozwiązania. Jedna z nich wprowadziła obowiązek udziału przedstawiciela prezydenta w rządowych pracach nad uchwałą Rady Ministrów w sprawie Krajowego planu reagowania na incydenty i sytuacje kryzysowe w cyberbezpieczeństwie na dużą skalę.

Kolejna przewidywała, że administracyjne kary pieniężne za brak realizacji obowiązków wynikających z nowelizacji ustawy o KSC będą mogły być nakładane po raz pierwszy po upływie 2 lat od dnia wejścia w życie noweli. Rozwiązanie to ma umożliwić podmiotom objętym regulacją odpowiednie przygotowanie się do nowych wymagań.

19 lutego br. prezydent Karol Nawrocki podpisał nowelizację ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz skierował ją do Trybunału Konstytucyjnego. Wątpliwości głowy państwa budzą m.in. przepisy regulujące zasady uznawania podmiotów za dostawców wysokiego ryzyka (DWR) oraz zasady wydawania tzw. poleceń zabezpieczających. „Przepisy te ingerują w samodzielność funkcjonowania przedsiębiorców, m.in. poprzez nakładanie obowiązku wymiany sprzętu oraz oprogramowania i to bez odszkodowania, i bez zabezpieczenia środków finansowych na ten cel” – podał prezydent. Nawrocki wskazał również, że przewidziany ustawą system kar jest – według niego – restrykcyjny, a ich wysokość „ma wręcz charakter samodzielnych środków karnych”. 

Cyfryzacja ludzkiego ciała

.Jeśli internet ciał nie będzie starannie zarządzany, może stać się narzędziem kontroli i dominacji, silnie wpływając na funkcjonowanie całego społeczeństwa – pisze prof. Michał KLEIBER.

Popatrzmy na historię rozwoju internetu. Na początku mieliśmy internet komputerów, czyli sieć łączącą urządzenia cyfrowe, później dołączył do niego internet rzeczy, czyli sieć łącząca różnorodne obiekty i urządzenia, a teraz istnieją wyraźne sygnały, że przystąpiliśmy do uzupełniania dwu powyższych koncepcji trzecią, a mianowicie tworzeniem sieci łączącej ludzkie ciała.

Ta kolejna generacja internetu, czyli internet ciał (IC) rozbudza oczywiście olbrzymie emocje, może bowiem okazać się bardzo przydatna, szczególnie w opiece zdrowotnej, ale może także mieć fatalne konsekwencje. Wiele zagrożeń wywołuje już dzisiaj poważny niepokój, a jeszcze inne pojawią się z pewnością w przyszłości i są na razie trudne do przewidzenia. Dotyczą one prywatności, przestępczego wykorzystywania pozyskiwanych danych bądź szeroko rozumianej etyki związanej z funkcjonowaniem IC.

Internet ciał jest rozwinięciem internetu rzeczy mającym postać sieci niewielkich urządzeń na, wokół ciała lub w ciele człowieka, których funkcje obejmują wykrywanie, zbieranie, analizę i udostępnianie danych zdrowotnych i biometrycznych o obserwowanej osobie. Innymi słowy, sieć ta łączy ludzkie organy z systemami informatycznymi. Eksperci nie mają wątpliwości, że stało się to dzisiaj całkowicie możliwe. Nasze organy byłyby w tym scenariuszu podłączone sensorami do sieci zbierającej szczegółowe informacje o działaniu całego organizmu i przekazującej je do utworzonych w tym celu centrów danych. Pozwoliłoby to na przykład przewidywać zdalnie, czyli bez wizyty u lekarza, grożące nam choroby, i sugerować spersonalizowane działania profilaktyczne, co oczywiście byłoby niezwykle korzystne dla zdrowia, a ponadto redukowałoby koszty leczenia później rozpoznanych dolegliwości. Zapobiegłoby to także śmierci wielu osób – w Stanach Zjednoczonych na przykład prawie jedna czwarta zawałów serca pozostaje nierozpoznana przez osoby, którym się to przytrafiło, co świadczy o znacznej liczbie możliwych do uniknięcia zgonów.

Możliwe byłoby także wyposażenie sensorów, określanych wtedy mianem biorobotów, w środki lecznicze bezpośrednio stosowane po wykryciu problemu, przeciwdziałające na przykład tworzącemu się zakrzepowi krwi bądź wykrytym bakteriom lub wirusom chorób zakaźnych, czy wręcz możliwe by były działania mikrochirurgiczne reperujące naruszone DNA.

Sieć IC mogą tworzyć najróżniejsze elementy, które można podzielić na następujące kategorie:

Pierwsza kategoria to urządzenia noszone zewnętrznie na ciele w celu monitorowania tętna, ciśnienia krwi, poziomu tlenu bądź fizycznej aktywności, a także innych ważnych parametrów życiowych, takich jak wzorce snu czy nawet stany emocjonalne. Do urządzeń tych należą m.in. tzw. smartwatche, opaski fitness, plastry medyczne czy inteligentna odzież. Urządzenia te są nieinwazyjne, przyjazne dla użytkownika i bardzo przystępne cenowo, co przyczynia się do ich popularności.

Druga kategoria to urządzenia wszczepiane wewnętrznie lub połykane, czyli np. stymulatory serca, implanty, inteligentne soczewki kontaktowe, czujniki monitorujące narządy wewnętrzne, pompy insulinowe regulujące poziom cukru we krwi czy cyfrowe pigułki przesyłające dane z układu pokarmowego – wszystkie te urządzenia mogą dostarczać dane medyczne, szczególnie istotne w przypadku stosowania ciągłego monitorowania.

Mogą to być urządzenia w pełni zintegrowane z ciałem, takie jak np. interfejsy mózg-komputer lub narzędzia do edycji genów, pozwalające na dwukierunkową komunikację między ciałem a systemami zdalnymi i mogące nawet modyfikować biologiczne podstawy budowy ludzkiego organizmu.

Tekst dostępny na łamach Wszystko co Najważniejsze: https://wszystkoconajwazniejsze.pl/prof-michal-kleiber-internet-cial/

PAP/ LW